GB/T 32919-2016 信息安全技術 工業控制系統安全控制應用指南A.1 工業控制系統與傳統信息系統對比
A.1 工業控制系統與傳統信息系統對比
大多數的工業控制系統均在網絡、個人計算機和互聯網普及以前開發并使用,設計之初主要用于解決高效、穩定、可靠、安全等需求。通常情況下,它們與外部網絡物理隔離,并且運行在專有的、具有基本錯誤檢測和處理能力的軟、硬件平臺和通信協議上,缺乏面對當前互聯網時代所需要的安全通信能力。雖然這些系統設計時關注了可靠性、可用性和可維護性,但沒有預料到在解決性能和故障統計等需求時需要面對的信息安全問題。在當時,工業控制系統安全僅意味著物理上專有網絡訪問和系統控制臺功能。
工業控制系統在上世紀80和90年代與微處理器、個人計算機和網絡技術同步發展,在90年代后期,互聯網技術開始融入到工業控制系統的設計中。這些新技術帶來的變化使工業控制系統面臨的新威脅,并增加了工業控制系統受到損害的可能性。
最初,工業控制系統使用專門的硬件和軟件系統,類似于獨立運行的專用控制協議。隨著低成本的互聯網協議設備正在取代專有設備的解決方案產生,網絡安全漏洞和安全事件發生的可能性不斷增加。隨著工業控制系統開始采用IT解決方案來促進企業連接和遠程訪問等功能,設計并使用標準計算機、操作系統和網絡協議,工業控制系統越來越像IT系統。這些支持新的IT功能技術的集成,工業控制系統與之前相比減少了封閉性,也產生了新的安全需求。雖然傳統IT系統已具備解決這些安全問題的解決方案,但在工業控制系統中引入這些解決方案必須考慮工業控制系統的特殊性。在某些情況下需要針對工業控制系統的特殊性裁剪這些安全解決方案。
工業控制系統與傳統IT系統相比存在許多特殊性,包括不同的風險和優先級,不同的性能和可靠性要求等。下面列出了解決工業控制系統安全需要考慮的特殊性:
1) 性能需求
工業控制系統通常是嚴格按照時序要求的,可接受的延時和抖動標準與具體系統相關,系統需要確定的響應,高處理能力通常不是必須的。而傳統IT系統需要高處理能力,而能夠接受一定的延時和抖動。
2) 可用性需求
很多工業控制系統具有工作連續性,意外的中斷往往是不可接受的。中斷是按計劃進行的,并提前數日或數周完成規劃安排。詳盡的部署測試是必不可少的,以確保高工業控制系統的高可用性。在某些情況下,工業控制系統所生產的產品或所使用的設備比系統處理或傳遞的信息更重要。因此,工業控制系統對高可用性、可靠性和可維護性要求,使用典型的IT策略,如重新啟動組件,通常是不可接受的解決方案。部分工業控制系統采用冗余組件,并保持并聯運行,以保證在主組件異常或不可用時保證系統運行的連續性。
3) 風險管理需求
在典型的IT系統中,數據機密性和完整性通常是首要關注問題。而工業控制系統首要關注問題是防止危害生命、公眾健康或信心,監管合規,防止設備、產品或知識產權的損失等。
4) 安全焦點
在典型的IT系統中,安全焦點是保障IT資產的正常運行,并保護這些資產中處理、存儲或傳輸的信息。在某些體系架構中,存儲和處理的信息更為關鍵,并得到更多的保護。對于工業控制系統,邊緣設備(如PLC、操作員站、DCS等)直接負責控制過程而需要仔細保護。由于可能對每個邊緣設備產生不利影響,對工業控制系統中央服務器的保護也非常重要。
5) 物理交互
典型的IT系統往往與環境沒有物理上的相互作用。而工業控制系統可能與物理環境間有非常復雜的相互作用。因此,集成到工業控制系統中任何安全功能必須進行嚴格測試,以確保安全功能不會影響工業控制系統的正常功能。
6) 時間確定性響應
在典型的IT系統中,實現訪問控制時不必過多關心數據流的情況。而在工業控制系統中,系統自動響應時間或者系統對人類交互的響應是非常關鍵的,如:在HMI中的身份驗證和授權不得妨礙或干擾工業控制系統的緊急措施,信息流不能中斷。因此,工業控制系統安全控制的運用應受到嚴格的的限制。
7) 系統運行
工業控制系統的操作系統和應用程序可能無法容忍典型IT系統的安全實踐。控制網絡往往比較復雜,需要不同的專業知識(例如,控制網絡通常由控制工程師管理,而非IT人員)。在運行的控制網絡中,軟件和硬件的升級更困難。許多系統可能不具有必要的功能,包括加密功能、錯誤日志記錄和密碼保護等IT系統中最基本的功能。
8) 資源約束
工業控制系統和它們的實時操作系統往往是資源受限的系統,通常不包括典型IT系統的安全能力。在工業控制系統組件上可能沒有可用的計算資源來改造現有的安全功能。此外,在某些情況下,因為工業控制系統供應商許可證和服務協議,第三方安全解決方案是不允許的。
9) 通信
用于工業控制系統現場控制和處理器間通訊的通信協議是專有的,與典型的IT系統通信協議完全不同。
10) 變更管理
無論是IT系統還是工業控制系統,變更管理都是保證完整性的重要措施。未安裝補丁的軟件是一個巨大的安全漏洞。通常采用適當的安全策略和程序及時進行IT系統軟件的更新,包括安全補丁更新。此外,這些更新通常使用基于服務器的工具來自動實現。因為更新需要進行全面的測試和計劃,工業控制系統的更新往往不及時。另外,由于工業控制系統通常使用舊版的操作系統,供應商已停止技術支持,因此,更新程序往往不適用于工業控制系統。因此,工業控制系統的變更(包括硬件、固件和軟件的變更)過程需要經過工業控制系統專家、信息安全專家和信息系統專家的仔細評估。
11) 服務支持
典型的IT系統允許多樣化的支持方式。而對于工業控制系統,服務支持通常來自于單一供應商,可能不存在多樣化的支持方式。
12) 組件生命周期
由于技術的快速演變,典型的IT組件只有3-5年的生命周期。而工業控制系統組件的生命周期往往有15-20年,甚至更長。
13) 組件訪問
典型的IT系統組件通常是本地的和易于訪問的,而工業控制系統組件可能是分離的、遠程的,對它們的訪問需要大量的外部嘗試。
推薦文章: